L'évaluation d'un fournisseur d'IA suit toujours le même ordre : les certifications, le contrat de sous-traitance, la localisation des données, le calendrier réglementaire. Claude, l'assistant conçu par Anthropic, se contrôle exactement de la même façon, poste par poste. Ce dossier reprend Claude, RGPD et conformité dans cet ordre précis, sans raccourci.

Oui, Claude peut être déployé en conformité avec le RGPD, à condition de choisir la bonne offre et la bonne configuration. Anthropic publie l'ensemble de ses certifications sur son Trust Center, exclut l'entraînement de ses modèles sur les données professionnelles depuis le 28 août 2025, et propose un contrat de sous-traitance calé sur les clauses contractuelles types de l'Union européenne. Un point reste à traiter avec attention : aucune offre first-party n'héberge les données en résidence UE stricte, seules les zones US et global existent en direct chez Anthropic. La suite déroule les preuves dans l'ordre où un DPO les vérifie réellement.

Claude RGPD et conformité : les certifications, premier poste du dossier

Le Trust Center d'Anthropic centralise les certifications et les rapports d'audit. Trois d'entre elles structurent un dossier de conformité professionnel :

  • SOC 2 Type II : contrôles de sécurité, disponibilité et confidentialité, audités sur une période, pas seulement à un instant donné.
  • ISO 27001:2022 : management de la sécurité de l'information.
  • ISO/IEC 42001:2023 : management de l'intelligence artificielle. Anthropic compte parmi les premières entreprises d'IA à l'obtenir, en janvier 2025.

Un BAA (accord pour les données de santé, au sens de la loi américaine HIPAA) est également disponible pour les clients éligibles. Là non plus, Anthropic n'est pas seule : un tel accord existe aussi chez OpenAI et chez Google, sur leurs offres professionnelles respectives. Le Trust Center liste aussi ISO/IEC 27017 (sécurité des services cloud), ISO/IEC 27018 (protection des données personnelles dans le cloud), SOC 3 (la version publique du rapport SOC 2), CSA STAR Level 2 et FedRAMP High, un standard fédéral américain qui n'a pas de lien direct avec le RGPD mais complète le tableau de gouvernance.

Une précision utile pour situer ces certifications : ce socle n'est pas propre à Claude. OpenAI et Google disposent d'un socle de certifications largement équivalent, Google détenant lui aussi l'ISO 42001. Une certification atteste d'une gouvernance de la sécurité auditée. Elle ne dispense jamais l'entreprise déployante de sa propre analyse RGPD : c'est une nuance que le Trust Center d'un fournisseur ne peut pas trancher à votre place.

Le contrat de sous-traitance et l'entraînement des données

Dès que Claude traite des données personnelles transmises par une entreprise, Anthropic devient sous-traitant au sens du RGPD. Un contrat de sous-traitance, le DPA, formalise cette relation : rôles, durées de conservation, obligations de suppression. Anthropic Ireland Limited, basée à Dublin, assume le rôle de contrôleur pour les utilisateurs européens. Les transferts vers les États-Unis s'appuient sur les clauses contractuelles types de l'UE.

Ce contrat n'existe pas sur tous les plans. Les offres Team, Enterprise et API l'incluent. Les plans grand public, Free, Pro et Max, n'en comportent pas, et les données peuvent y servir à l'entraînement des modèles sauf opt-out explicite dans les paramètres. C'est une différence structurelle, pas un détail : un abonnement Pro ne suffit pas pour un usage professionnel impliquant des données personnelles.

Depuis le 28 août 2025, Anthropic n'entraîne plus ses modèles sur les données des offres Team, Enterprise, API, Bedrock et Vertex. Cette exclusion n'est pas propre à Claude non plus : OpenAI et Google appliquent la même politique sur leurs offres professionnelles respectives. C'est un fait rassurant, pas un argument différenciant.

Pour les organisations Enterprise, une Compliance API donne un accès programmatique aux journaux d'audit depuis le 20 août 2025. Elle ne couvre pas Cowork, l'environnement de tâches autonomes de Claude, exclu de ce mécanisme sur tous les plans, y compris Enterprise.

Ces obligations propres à Claude s'inscrivent dans un cadre RGPD plus large : bases légales, registre des traitements, analyse d'impact. Notre guide complet RGPD et IA en entreprise détaille ce parcours en six étapes, la répartition exacte des rôles de responsable et de sous-traitant comprise.

La résidence des données, le point qui bloque le plus souvent

Par défaut, les données transitant par Claude sont stockées aux États-Unis. Le RGPD n'impose pas un hébergement en Europe, mais il impose des garanties pour ces transferts : c'est le rôle des clauses contractuelles types, déjà en place chez Anthropic.

Pour un contexte qui exige un stockage en Union européenne, Claude peut être déployé en conformité RGPD avec résidence des données dans l'UE via AWS Bedrock ou Google Vertex AI en région européenne. Ce n'est pas un avantage natif d'Anthropic : c'est un contournement, disponible via deux plateformes cloud tierces, pas via l'API directe d'Anthropic. Concrètement, AWS Bedrock propose des régions à Francfort, en Irlande, à Stockholm et à Paris ; Google Cloud Vertex AI propose plusieurs régions européennes équivalentes. Microsoft Foundry propose Claude en disponibilité générale, mais sans zone de données européenne à ce jour ; Anthropic indique une échéance « 2026 », sans date précise, à ne jamais présenter comme acquise.

Pour les clients API et Enterprise éligibles, un accord de rétention nulle des données, le Zero Data Retention, existe sur approbation : les entrées et sorties ne sont pas conservées après la réponse. C'est un complément à la question de la résidence, pas un substitut à un hébergement européen.

Les entreprises soumises à des obligations de confidentialité renforcées trouveront un angle complémentaire dans notre article sur la confidentialité des données avec l'IA, côté grand public comme côté professionnel.

Le calendrier de l'AI Act, à jour au 29 juin 2026

Le calendrier de l'AI Act européen a été révisé par un Omnibus, adopté par le Conseil de l'UE le 29 juin 2026. L'application générale du texte reste fixée au 2 août 2026, tandis que les obligations pour les systèmes à haut risque de l'annexe III sont reportées au 2 décembre 2027. Le détail des obligations, selon l'usage fait de Claude, est traité dans notre article sur l'AI Act et le RGPD.

Claude RGPD et conformité : ce que prouve ce dossier, et ce qu'il ne prouve pas

La conformité de Claude se prouve, elle ne se raconte pas. Anthropic documente ses certifications, exclut l'entraînement sur les données professionnelles, et encadre les transferts par des clauses types. Mais aucune certification ne remplace l'analyse RGPD propre à l'entreprise qui déploie Claude : base légale, registre des traitements, analyse d'impact si nécessaire. Pour passer à l'action sur ces points, notre checklist dirigeant IA et RGPD reprend les étapes dans l'ordre.

Arynor est une agence française spécialisée sur l'écosystème Claude, non affiliée à Anthropic. Pour vérifier que votre propre dossier de conformité tient la route, un premier échange de 30 minutes permet de faire le point, sans engagement.

Questions fréquentes

Claude est-il conforme au RGPD ?

Oui, sous conditions. Anthropic propose un contrat de sous-traitance, utilise les clauses contractuelles types de l'UE pour les transferts, et Anthropic Ireland Limited assume le rôle de contrôleur pour les utilisateurs européens. La conformité effective dépend du plan choisi : les offres Team, Enterprise et API offrent des garanties nettement plus solides que les plans grand public.

Quelles certifications Anthropic a-t-il obtenues ?

Notamment SOC 2 Type II, ISO 27001:2022 et ISO/IEC 42001:2023, cette dernière obtenue en janvier 2025. Anthropic compte parmi les premières entreprises d'IA à détenir cette certification, pas la première. Un BAA HIPAA est disponible pour les clients éligibles, à l'image de ce que proposent aussi OpenAI et Google.

Où sont stockées les données de Claude ?

Aux États-Unis par défaut. Pour un hébergement en Union européenne, il faut passer par AWS Bedrock ou Google Cloud Vertex AI en région européenne.

Claude utilise-t-il mes données pour entraîner ses modèles ?

Non, depuis le 28 août 2025, pour les offres Team, Enterprise, API, Bedrock et Vertex. Pour les plans grand public, oui, sauf opt-out explicite dans les paramètres.

Qu'est-ce que le Zero Data Retention chez Anthropic ?

Un accord disponible sur approbation pour certains clients API et Enterprise. Les entrées et sorties ne sont pas conservées après le retour de la réponse. Ce n'est pas un substitut à un hébergement européen, mais un complément.